Matanbuchus 惡意軟件

Matanbuchus 惡意軟件是一種威脅加載程序，在地下黑客論壇和市場上以惡意軟件即服務計劃 (MaaS) 的形式提供。 Matanbuchus 的創造者是以 BelialDemon 的名義運作的威脅行為者。根據銷售宣傳，潛在客戶必須支付 2500 美元的初始租金才能獲得威脅。被稱為加載程序的惡意軟件子集通常是在攻擊鏈的早期階段丟棄的威脅，負責在受感染系統上獲取並執行下一階段的有效負載。總的來說，Matanbuchus 堅守自己的角色，其主要的惡意功能是 - 在內存中啟動 .exe 和 .dll 文件、執行 PowerShell 命令、使用 schtasks.exe 篡改任務計劃，以及強制獨立可執行文件加載特定的 DLL。

初始攻擊向量

Palo Alto Networks 的 Unit 42 的信息安全研究人員發現了 Matanbuchus，他們也能夠確定黑客用來傳遞威脅的手段。攻擊的初始向量是帶有損壞宏的誘餌 Microsoft Excel 文檔。威脅行為者顯示出持續的趨勢，拋棄通常的武器化 Microsoft Word 文檔並切換到 Excel 文件。解釋很簡單——Excel 的內置特性允許威脅行為者在整個文檔的電子表格單元格中分發他們損壞的代碼，實現一定程度的混淆並使分析和檢測變得更加困難。當用戶執行 Excel 文件並啟用其宏時，該文件的受損編碼將從特定位置 (idea-secure-login[.]com) 獲取名為“ddg.dll”的 DLL 文件。然後該文件將作為“hcRlCTg.dll”保存在受害者的系統上。這實際上是 Matanbuchus 惡意軟件的 DLL 文件。

Matanbuchus 惡意軟件的結構

加載程序威脅包含兩個 DLL 文件 - MatanbuchusDroper.dll 和 Matanbuchus.dll。顧名思義，第一個文件的主要功能是傳送主要的惡意軟件文件。但是，此外，它還通過 GetCursorPos、IsProcessorFeaturePresent、cpuid、GetSystemTimeAsFileTime 和 QueryPerformanceCounter 檢查沙箱或調試工具的本機環境。下一步是下載名為“AveBelial.xml”的 XML 文件偽裝下的主要 Matanbuchus DLL。該威脅通過生成計劃任務來運行新刪除的 DLL 文件來激活持久性機制。

Matanbuchus 嘗試通過使用典型系統文件名的近似值在本機系統中混合其文件。例如，威脅將其主要組件命名為 shell96，而不是合法的 shell32 或 shell64。應該注意的是，Matanbuchus.dll 與其他 DLL 文件類似，但黑客花了更多時間為其配備額外的混淆和編碼技術，以掩蓋其字符串和可執行代碼。

用戶和組織應密切關注該威脅，因為它已被用於世界各地的攻擊活動。到目前為止，Matanbuchus 惡意軟件已針對幾個不同的組織部署，其中包括美國一所大型大學和一所高中以及來自比利時的一家高科技組織。